Quali vantaggi offre l'impostazione IE "Blocca immagini non protette con altri contenuti misti"?

2

Internet Explorer ha le impostazioni di sicurezza mostrate nella schermata qui sotto.

Lamiacomprensioneèchele"immagini non protette" sono immagini che non vengono trasmesse su HTTPS.

Ciò di cui sono curioso è perché questa impostazione specifica il blocco delle immagini, a differenza di altri possibili contenuti non HTTPS?

C'è qualche vantaggio che può essere ottenuto bloccando le immagini in particolare? O qual è il ragionamento dietro questa impostazione?

    
posta coderworks 11.03.2015 - 20:22
fonte

1 risposta

2

Il ragionamento alla base di questo è che nella maggior parte dei casi, i contenuti non protetti sono solo banner pubblicitari e non saranno di alcun interesse. Pertanto, IE consente immagini predefinite su una pagina altrimenti sicura.

Si noti che NON è possibile eseguire un'immagine come JavaScript o codice eseguibile, quindi un'immagine non protetta non può influenzare il contenuto della pagina su una pagina altrimenti sicura.

Tuttavia, altri contenuti possono modificare il contenuto della pagina, ad esempio un JavaScript caricato su una connessione non protetta potrebbe modificare la pagina HTTPS per modificare l'azione di un modulo, e se un hacker modifica il file .js in transito, quindi potrebbero "sovvertire" la pagina HTTPS.

Tuttavia, vi sono 2 casi in cui le immagini potrebbero ancora essere un problema:

  • Se l'immagine viene modificata per essere "protetta dall'autenticazione di base", il browser potrebbe visualizzare una finestra di autenticazione, che può indurti a pensare che la finestra di autenticazione appartenga al sito HTTPS. Tuttavia, IE avviserà, vedi questa immagine, se BASIC + HTTP è misto:

Sel'attaccanteutilizzadigest,nonsaràingradodiottenerealcunainformazionesullapassword.Quindinoninseriremaialcunnomeutenteopasswordselafinestradidialogocontienel'avvisosopra,sesièsuunsitoHTTPS.SoloDIGEST+HTTP,BASIC+HTTPSoDIGEST+HTTPSsopprimonol'avvisomostratosopra.

  • Unaltrocasoincuisidesiderabloccareleimmagininonsicure,èseleimmaginicontengonoinformazionisensibiliosevengonotrasmesseinformazionisensibiliconleimmagini,adesempio: link

Ma entrambi questi casi sono molto rari, quindi puoi tranquillamente mantenere l'impostazione (consenti il caricamento di immagini non sicure su pagine HTTPS)

    
risposta data 11.03.2015 - 22:34
fonte

Leggi altre domande sui tag